Кибербезопасность и анализ рисков локализации
Основным препятствием цифровой трансформации российской нефтедобычи эксперты VYGON Consulting называют высокую зависимость от иностранных технологий на фоне действия санкций. Развитию собственных технологий мешает целый набор системных проблем: недостаточные стимулы у бизнеса для инвестиций в НИОКР, неразвитый рынок капитала, отсутствие венчурной инфраструктуры, слабая конкуренция на нефтесервисном рынке, наличие административных барьеров.
Так, целью Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» является устойчивое функционирование критической информационной инфраструктуры Российской Федерации при проведении в отношении нее компьютерных атак, а одним из принципов обеспечения безопасности – приоритет предотвращения компьютерных атак.
Таким образом, несмотря на то, что в настоящее время обязательного требования по проведению тестирования на проникновение в действующем законодательстве пока не сформулировано, без проведения учебного моделирования атаки на информационную систему и успешного ее отражения вряд ли можно говорить о достаточности принятых мер защиты.
Поскольку в области решений по ПА и системам управления преобладают зарубежные, и в т.ч. по КБ, – важнейшим фактором становятся риски локализации.
В своем исследовании «Кибербезопасность в условиях цифровизации. Новый вызов для нефтяной отрасли», опубликованном в ноябрьском номере журнала Oil & Gas Journal in Russia за 2018 год, мы говорили о надуманности многих рисков, которые обычно связывали с локализованными в России компаниями.
Приведенная ниже цитата иллюстрирует ход мыслей в то время. «Следующий вопрос – как воспринимать продукцию локализованных в России предприятий крупных западных компаний-вендоров. Порой можно услышать некие соображения о рисках, связанных с работой с такими компаниями, которые могут заключаться в том, что уже было перечислено выше, а также в утечках разрабатываемой в России продукции аппаратного или интеллектуального плана в западном направлении, в сторону материнской компании. Порой можно услышать мнение, что это некие «агенты западных компаний».
Безусловно, необходимо признать, что и такого рода риски являются абсолютно надуманными и ложными. Любая фирма, принадлежащая крупной компании-вендору мирового уровня, будет, находясь в системе координат мирового бренда, подчиняться всем политикам, миссиям и задачам огромной компании и точно так же относиться к важным вопросам своих обязательств, как это было уже описано выше.
И для дочерних компаний репутация марки стоит очень высоко. При этом локализованная компания гораздо устойчивее, надежнее и понятнее серьезному заказчику. Что касается возможных утечек технологий, то необходимо начать с того, что задолго до этих гипотетических утечек такие компании способствовали (и способствуют) притоку отсутствующих в России технологий. Причем это технологии, испытанные в мире, отработанные, а не фантастические, только что придуманные.
Уверенные заявления экспертов на эту тему – рисков нет. Каково же было разочарование, когда спустя всего год ситуация кардинально поменялась. Хотя локализованные предприятия остались на месте, трансфер технологий, надо признать не ключевых, продолжается. Однако, что было допустимым для мирного времени, перестало работать при переходе на военные рельсы.
Если завтра война
Прошел год и началась война. Пока торговая, но на поле боя уже появились первые убитые. Это китайский технологический гигант Huawei.
Если попытаться кратко изложить ход пока еще не окончившейся войны, то можно констатировать, что США в стремлении уменьшить государственный долг и дефицит торгового баланса (наихудшее положение именно с Китаем) готовы пойти на многое. Главное улучшить статистику как минимум, а как максимум вернуть промышленность в США – Make America Great Again.
Причем власти США действуют как менеджеры по продажам. Часто невозможно определить, в какой роли они выступают в данный конкретный момент. Используя торговую войну с Китаем как элемент борьбы за политическое доминирование, США вводят санкции против китайской технологической компании Huawei, США одновременно наносят вред и своим компаниям. Производители чипов Intel, Qualcomm, Xilinx, Micron и Broadcom больше не будут поставлять оборудование для Huawei и, следовательно, потеряв клиента, понесут убытки. К этим санкциям присоединились и другие компании, например, Google.
«Формально Google не является частью Соединенных Штатов. Фактически же мы видим, что американский бизнес немедленно и максимально полно выполняет все политические рекомендации. Это еще одно напоминание нам о свободе бизнеса на Западе, которая существует только тогда, когда она не мешает и не входит в противоречие с политикой», — заявил эксперт Международного института гуманитарно-политических исследований Владимир Брутер.
Возникает реальная опасность использования оборудования американских компаний на объектах критической инфраструктуры. Одно дело, если перестанет работать iPhone, это будет некоторым неудобством. И совсем по-другому выглядит ситуация, если перестанет работать система автоматизации современного производства. Последствия окажутся тяжелыми как для бизнеса самой компании, так и для местности, где расположено предприятие, имея в виду экологические риски.
То, что системы автоматизации предприятий на сегодняшний день являются уязвимыми, можно проиллюстрировать следующими данными:
• 2019 год: компания Norsk Hydro после атаки вируса-шифровальщика LockerGoga Ransomware. Итог – остановка производства, замена оборудования, убытки 70 млн долларов США;
• 2018 год: UK NHS – Национальная служба здравоохранения Великобритании. Вирус WannaCry. Итог – убытки 92 млн фунтов стерлингов, замена компьютерного оборудования, репутационные риски;
• 2017 год: компания Merck – вирус NotPetya. Итог – убытки 870 млн долларов США.
И это только самые известные случаи. Чуть ранее были повреждены вирусом Stuxnet иранские центрифуги для обогащения урана.
Помимо непосредственно используемой киберзащиты программными и организационными мерами, использование которых представляется само собой разумеющимся в современных условиях, рациональным было бы прибегнуть и к превентивной защите. То есть не использовать оборудование тех стран-производителей, в данном случае США, которые являются прямыми конкурентами в секторе использования оборудования, и тех стран, которые склонны ставить интересы своих компаний выше международных правил и законов и продвигают своих производителей не экономическими, а политическими средствами.
Области рисков. Отрасли рисков
Надо ли стремиться к тому, чтобы все необходимое производить у себя дома? Нужна ли автаркия, которая, если вспомнить, была характерна как для СССР, так и для США 50–60 годов прошлого столетия. Пожалуй, всю нынешнюю номенклатуру товаров не в силах произвести даже Китай, хотя именно он считается фабрикой мира. Всегда найдутся лакуны, где его – Китая – компетенций недостаточно (например, двигатели в авиастроении, производство чипов и микрочипов и ряд других). Как определить грань между импортом и импортозамещением? К тому же глобализация принесла с собой и другую проблему – проблему локализации.
Хорошо определены требования, что считать локализованным продуктом, только в автомобильной промышленности; по остальным отраслям требования локализации – moving target.
К рискам локализации следует отнести и недостаточную конкурентоспособность производственного сектора, призванного явить миру импортозамещающие продукты. Среди факторов, влияющих на нее, можно выделить:
- Наиболее чувствительно для B2G-секторов, частично для B2B, менее чувствительно для B2C;
- Развитие региональных компетенций: нефтегазовый и оборонно-промышленный комплексы, рынок естественных монополий и внутренний рынок регионов;
- Риски узости рынка РФ для развития импортозамещающих производств;
- Зависимость конкурентоспособности (R&D, EoS) от объема производства.
Также российский промышленный экспорт зависит от уровня производительности труда. Мы видим негативные последствия участия в системе международного разделения труда для России.
Расширенное толкование термина «импорт» (например, под предлогом импортозамещения исключается из списка закупок продукция компаний резидентов РФ, произведенная на локализованных в России производствах, по признаку наличия иностранного капитала в уставном фонде компании или вхождения такой компании в транснациональный холдинг.)
Важно определить толкование локализации, по каким критериям компания (продукт) может быть признана локализованным и на каких условиях она в таком случае может работать на территории России.
Предложено несколько подходов к определению локализации:
Балансовый метод. Подтверждение планомерных усилий по локализации поставляемых продуктов на основании балансовых показателей компании. А именно усредненное за несколько периодов соотношение локальных инвестиций (капитальных затрат и т.д.) к годовому обороту.
Продуктовый. Подход предполагает установление процента стоимости российских компонентов в себестоимости готового продукта.
Технологический. На базе технологического подхода экспертное сообщество по отраслям может относительно быстро сформулировать определены определенные звенья цепочки создания стоимости вполне объективные критерии, какое производство можно считать локализованным (отечественным).
Пример такого подхода – ситуация в автомобильной промышленности. Т.е. были определены определенные звенья цепочки создания стоимости, цех сварки и окраски кузова, размещение которых на территории России позволяет считать итоговый продукт локализованным.
Спорным, по-видимому, является широко применяемый в настоящее время Финансовый метод. Оценка локализованности / импортозамещения компаний на основании гражданства конечных бенефициаров неприменима для публичных компаний с миллионами акционеров. Действующие на территории России подразделения международных компаний являются российскими юридическими лицами и крупнейшими налогоплательщиками.
Основные принципиальные решения
В компаниях должны быть разработаны политики и комплексный подход в вопросах обеспечения информационной безопасности и кибербезопасности, в том числе для минимизации рисков локализации.
Основные решения:
- Импортозамещающие решения – отечественные – по примеру того же Huawei. Есть потенциал, надо делать - слова претворять в дела;
- Тиражирование существующих решений, прошедших апробирование на объектах компании или аналогичных объектах других компаний. Тех решений, которые не содержат в себе повышенных рисков. Если от локализованных компаний, то только с уровнем локализации выше 90 %. И решения, которые полностью формируются из отечественных компонентов – аппаратных (насколько возможно) и ПО (полностью);
- Сотрудничество с иностранными компаниями стран, не участвующих в санкциях против РФ.
Работа госорганов по уменьшению рисков локализации
Согласно утвержденному распоряжением Правительства Российской Федерации от 30 сентября 2014 г. № 1936-р плану содействия импортозамещению в промышленности предусмотрено снижение доли импорта по отраслям обрабатывающей промышленности по годам на период до 2020 года. Созданы 17 межведомственных рабочих групп по снижению зависимости отраслей от импорта оборудования, комплектующих и запасных частей, услуг (работ) иностранных компаний и использования иностранного программного обеспечения.Ключевым структурным элементом при реализации политики импортозамещения является Фонд развития промышленности.
К инструментам государственной поддержки, применяемым в сфере импортозамещения, также относятся:
- субсидии на компенсацию части затрат на проведение научно-исследовательских и опытно-конструкторских работ (постановление Правительства Российской Федерации от 30 декабря 2013 г. № 1312);
- субсидии на уплату процентов по кредитам, полученным в 2014 – 2016 годах на реализацию инвестиционных проектов (постановление Правительства Российской Федерации от 3 января 2014 г. № 3);
- программа поддержки инвестиционных проектов, реализуемых на основе проектного финансирования (постановление Правительства Российской Федерации от 11 октября 2014 г. № 1044);
- специальный инвестиционный контракт (постановление Правительства Российской Федерации от 16 июля 2015 г. № 718). На сегодняшний день в Минпромторг России поступило 13 заявлений о заключении специальных инвестиционных контрактов с суммарным объемом частных инвестиций 265 млрд. рублей.
Таким образом, в настоящее время правительством уже принят широкий спектр мер государственной поддержки разработки запасов углеводородов в Арктике, включающий как фискальные меры, так и меры административного характера, вышло распоряжение Правительства о комплексном плане развития производства СПГ на полуостровах Ямал и Гыдан. Особый налоговый режим для новых морских месторождений. Обнуление экспортных пошлин для СПГ и НДПИ в Арктике для добычи газа, направляемого на сжижение.
В настоящее время в акватории Северного морского пути осуществляется транспортировка углеводородного сырья и продукции, произведенной в рамках реализации двух проектов – это освоение Новопортовского нефтегазоконденсатного месторождения (в объеме около 7 млн тонн в год) и совместный проект компании «НОВАТЭК» с французскими и китайскими партнерами «Ямал СПГ», который после запуска третьей очереди выйдет на объем примерно 17 млн тонн, в перспективе – до 18 млн тонн.
Вложив значительные средства в развитие Арктических проектов и проектов по СПГ, государство в праве рассчитывать на защиту своих инвестиций от недобросовестной конкуренции со стороны США и на обеспечение технологической защиты производства в том числе и квалификационными средствами на уровне выбора подрядчиков.